Este documento describe cómo configurar un Cisco Identity Services Engine (ISE) para la integración con un servidor del Directory Access Protocol de las livianas de Cisco (LDAP).
No hay requisitos específicos para este documento.
La información este documento se basa en estas versiones de software y hardware:
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Estos métodos de autentificación se soportan con el LDAP:
Esta sección describe cómo configurar los dispositivos de red e integrar el ISE con un servidor LDAP.
En este ejemplo de configuración, el punto final utiliza un adaptador de red inalámbrica para asociarse a la red inalámbrica. El Wireless LAN (red inalámbrica (WLAN)) en el WLC se configura para autenticar a los usuarios vía el ISE. En el ISE, el LDAP se configura como almacén externo de la identidad.
Esta imagen ilustra la topología de red se utiliza que:
La instalación del OpenLDAP para Microsoft Windows se completa vía el GUI, y es directa. La ubicación predeterminada es C: > OpenLDAP. Después de la instalación, usted debe ver este directorio:
Tome la nota de dos directorios particularmente:
Agregue esta estructura a la base de datos de LDAP:
Conforme al directorio raíz, usted debe configurar dos unidades organizativas (OU). El OU=groups OU debe tener un grupo derivado (cn=domainusers en este ejemplo). El OU=people OU define las dos cuentas de usuario que pertenecen al grupo de los cn=domainusers.
Para poblar la base de datos, usted debe crear el archivo del ldif primero. La estructura previamente mencionada fue creada de este archivo:
dn: ou=groups,dc=maxcrc,dc=com
changetype: add
ou: groups
description: All groups in organisation
objectclass: organizationalunit
dn: ou=people,dc=maxcrc,dc=com
changetype: add
ou: people
description: All people in organisation
objectclass: organizationalunit
dn: uid=john.doe,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: john.doe
givenName: John
sn: Doe
cn: John Doe
mail: john.doe@example.com
userPassword: password
dn: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
uid: jan.kowalski
givenName: Jan
sn: Kowalski
cn: Jan Kowalski
mail: jan.kowalski@example.com
userPassword: password
dn: cn=domainusers,ou=groups,dc=maxcrc,dc=com
changetype: add
objectClass: top
objectClass: posixGroup
gidNumber: 678
memberUid: uid=john.doe,ou=people,dc=maxcrc,dc=com
memberUid: uid=jan.kowalski,ou=people,dc=maxcrc,dc=com
Para agregar los objetos a la base de datos de LDAP, usted puede utilizar el binario del ldapmodify:
C:\OpenLDAP\ClientTools>ldapmodify.exe -a -x -h localhost -p 389 -D "cn=Manager,
dc=maxcrc,dc=com" -w secret -f C:\OpenLDAP\ldifdata\test.ldif
ldap_connect_to_host: TCP localhost:389
ldap_new_socket: 496
ldap_prepare_socket: 496
ldap_connect_to_host: Trying ::1 389
ldap_pvt_connect: fd: 496 tm: -1 async: 0
attempting to connect:
connect success
adding new entry "ou=groups,dc=maxcrc,dc=com"
adding new entry "ou=people,dc=maxcrc,dc=com"
adding new entry "uid=john.doe,ou=people,dc=maxcrc,dc=com"
adding new entry "uid=jan.kowalski,ou=people,dc=maxcrc,dc=com"
adding new entry "cn=domainusers,ou=groups,dc=maxcrc,dc=com"
Utilice la información que se proporciona en las imágenes en esta sección para configurar el LDAP como almacén externo de la identidad en el ISE.
Usted puede configurar estos atributos de la ficha general:
El ISE también ofrece algunos esquemas preconfigurados (Microsoft Active Directory, Sun, Novell):
Después de que usted fije la dirección IP y el nombre correctos del dominio administrativo, usted puede probar el lazo al servidor. En este momento, usted no debe extraer ningunos temas o grupos porque las bases de la búsqueda todavía no se configuran.
En la lengueta siguiente, usted puede configurar la base de la búsqueda del tema/del grupo. Ésta es la punta del unido para el ISE al LDAP. Usted puede extraer solamente los temas y a los grupos que son niños de su punta que se une a. En este escenario, extraen a los temas del OU=people y a los grupos del OU=groups:
De los grupos lengueta, usted puede importar a los grupos del LDAP en el ISE:
Utilice la información que se proporciona en estas imágenes para configurar el WLC para la autenticación del 802.1x:
Uno de los métodos de autentificación soportados para el LDAP es EAP-GTC. Está disponible en Cisco AnyConnect, pero usted debe instalar el editor del perfil del administrador del acceso a la red para configurar el perfil correctamente. Usted debe también editar la configuración de administrador del acceso a la red, que por abandono se localiza aquí:
C: > ProgramData > Cisco > Cliente de movilidad Cisco AnyConnect Secure > administrador del acceso a la red > sistema > archivo configuration.xml
Utilice la información que se proporciona en estas imágenes para configurar el EAP-GTC en el punto final:
Utilice la información que se proporciona en estas imágenes para cambiar las directivas de la autenticación y autorización en el ISE:
Después de que usted aplique la configuración, usted debe poder conectar con la red:
Para verificar las configuraciones LDAP y ISE, usted debe poder extraer los temas y a los grupos con una conexión de prueba al servidor:
Estas imágenes ilustran un informe de la muestra del ISE:
Esta sección describe algunos errores comunes que se encuentren con esta configuración y cómo resolverlos problemas:
Authentication method is not supported by any applicable identity storeEste mensaje de error indica que el método que usted escogió no es soportado por el LDAP. Asegúrese de que el protocolo de autenticación en el mismo informe muestre uno de los métodos aceptados (EAP-GTC, EAP-TLS, o PEAP-TLS).